准备 Internet 受限环境
您可以在未连接到 Internet 的环境中部署 Tanzu Kubernetes Grid 管理集群和工作负载集群,例如:
- 代理环境
- 气隙环境,没有与 Internet 的物理连接
本主题介绍了如何将管理集群部署到 vSphere 或 AWS 上的 Internet 受限环境中。如果在可以通过外部 Internet 连接提取映像的连接环境中使用 Tanzu Kubernetes Grid,则无需执行这些过程。
注意本文档提供了在气隙环境中部署 Tanzu Kubernetes Grid 管理和工作负载集群的一般步骤。要在气隙环境中使用经验证的特定配置部署管理和工作负载集群,请参见 VMware Tanzu Kubernetes Grid 2.3 气隙参考设计和部署。TKG v2.3 参考设计适用于 TKG v2.3 和 v2.4。
要遵循此过程,可以在联机和脱机环境中使用单个计算机或不同计算机作为引导计算机。
(可选)下载 Harbor OVA
如果要安装 Harbor 注册表,请下载 Harbor OVA 文件:
- 转到 VMware Customer Connect,然后使用 VMware Customer Connect 凭据登录。
- 访问 Tanzu Kubernetes Grid 下载页面。
- 在 VMware Tanzu Kubernetes Grid 行中,单击转到下载 (Go to Downloads)。
- 在选择版本 (Select Version) 下拉菜单中,选择 2.4.0。
- 在产品下载 (Product Downloads) 下,滚动到标有 Harbor OVA 的部分,然后单击立即下载 (Download Now)。
- (可选)验证下载的文件与原始文件相同。VMware 为每次下载提供 SHA-1、SHA-256 和 MD5 校验和。要获取这些校验和,请单击要下载的条目下的 阅读更多信息 (Read More)。有关详细信息,请参见使用加密哈希。
常规必备条件
在 Internet 受限环境中部署管理集群和工作负载集群之前,您必须具有:
- 连接到 Internet 的 Linux 引导计算机:
- 不在 Internet 受限环境中,或者可以访问代理服务器允许列表中列出的域。
- 至少具有 2 GB RAM、2 个 vCPU 和 45 GB 硬盘空间。
- 已安装 Tanzu CLI。请参见安装 Tanzu CLI 和 Kubernetes CLI 以与独立管理集群配合使用,以在连接到 Internet 的系统上下载、解压缩和安装 Tanzu CLI 二进制文件。
- 集群虚拟机访问专用注册表中映像的一种方式:
- 代理环境:允许集群虚拟机访问注册表的输出代理服务器。
- 在此代理环境中部署管理集群时,请将集群配置文件中的
TKG_*_PROXY变量设置为代理服务器的地址,并将TKG_PROXY_CA_CERT设置为代理服务器的 CA(如果其证书是自签名的)。请参见配置代理。
- 在此代理环境中部署管理集群时,请将集群配置文件中的
- 气隙环境:USB 拇指驱动器或其他介质,用于在注册表中填充图像后,将专用注册表置于气隙后面。
- 代理环境:允许集群虚拟机访问注册表的输出代理服务器。
- USB 拇指驱动器或其他便携式脱机存储设备。
注意VMware 不支持在代理或气隙环境中具有 Windows Worker 节点的 TKG 工作负载集群。
vSphere 必备条件和架构
本文档提供了在气隙环境中在 vSphere 网络连接上部署 Tanzu Kubernetes Grid 管理和工作负载集群的一般步骤。要在气隙环境中的 vSphere 网络上以经验证的特定配置部署集群,请参见《VMware Tanzu Kubernetes Grid 2.3 气隙参考设计和部署》文档中的 VMware Tanzu Kubernetes Grid on vSphere 气隙参考设计和在气隙环境中的 vSphere 网络连接上部署 Tanzu Kubernetes Grid。TKG v2.3 参考设计适用于 TKG v2.3 和 v2.4。
vSphere 架构
vSphere 上的 Internet 受限 Tanzu Kubernetes Grid 安装具有防火墙和主要组件之间的通信,如下所示。
注意下图介绍了在联机和脱机环境中使用不同的引导计算机的情况。
在 vSphere 上,除了上述常规必备条件外,还必须:
-
将创建节点虚拟机的 OVA 上载到 vSphere。请参见将管理集群部署到 vSphere 中的将基础映像模板导入到 vSphere。
创建虚拟机后,如果无法使用默认用户名/密码登录,请如重置丢失的 Root 密码中所述使用 Gnu GRUB 重置密码,如果是 Photon OS。
-
以 Root 用户身份登录到 Jumpbox,然后启用远程 SSH,如下所示:
- 在编辑器中打开文件 /etc/ssh/sshd_config。nano /etc/ssh/sshd_config
- 在文件的“身份验证”部分添加一行,指出
PermitRootLogin yes。在这种情况下,该行存在,请移除“#”。 - 保存更新的 /etc/ssh/sshd_config 文件。
- 使用
service sshd restart重新启动 SHH 服务器
-
安装和配置与 Docker 兼容的专用容器注册表,如 Harbor、Docker 或 Artifactory,如下所示。此注册表在 Tanzu Kubernetes Grid 之外运行,并与部署为集群共享服务的任何注册表分开:
- 在防火墙内安装注册表。
- 您可以使用由可信 CA 签名的 SSL 证书或自签名证书配置容器注册表。
- 注册表不得实施用户身份验证。例如,如果使用 Harbor 注册表,则项目必须是公用项目,而不是专用项目。
- 要在 vSphere 上安装 Harbor,请执行以下操作:
-
配置脱机子网以用作 Internet 受限环境,并将其与 Jumpbox 相关联。
-
设置 DHCP 服务器以将专用 IP 分配给新实例。
-
在数据中心创建 vSphere Distributed Switch,以便在一个中央位置同时处理多个主机的网络配置。
- 有关详细信息,请参见创建 vSphere 分布式交换机。
AWS 必备条件和架构
本文档提供了在气隙环境中在AWS 上部署 Tanzu Kubernetes Grid 管理集群和工作负载集群的一般步骤。要在气隙环境中的 AWS 上使用经验证的特定配置部署集群,请参见《VMware Tanzu Kubernetes Grid 2.3 气隙参考设计和部署》文档中的 AWS 上的 VMware Tanzu Kubernetes Grid 气隙参考设计和通过气隙环境在 AWS 上部署 Tanzu Kubernetes Grid。TKG v2.3 参考设计适用于 TKG v2.3 和 v2.4。
AWS 架构
Amazon Web Services (AWS) 上的代理 Tanzu Kubernetes Grid 安装在主要组件之间具有防火墙和通信,如下所示。安全组 (SG) 在控制平面和工作负载域之间以及工作负载组件和控制平面组件之间自动创建。
对于 AWS 上的代理安装,除了上述常规必备条件外,您还需要:
- 未配置 Internet 网关(“脱机 VPC”)的 AWS VPC,如下所述。
- 连接到 Internet 的引导计算机必须能够访问此脱机 VPC 中的 IP 地址。有关详细信息,请参见 VPC 对等互连。
- 安装和配置了与 Docker 兼容的专用容器注册表,如 Harbor、Docker 或 Artifactory,如下所示。此注册表在 Tanzu Kubernetes Grid 之外运行,并与部署为集群共享服务的任何注册表分开:
- 在防火墙内安装注册表。
- 您可以使用由可信 CA 签名的 SSL 证书或自签名证书配置容器注册表。
- 注册表不得实施用户身份验证。例如,如果使用 Harbor 注册表,则项目必须是公用项目,而不是专用项目。
- 要安装 Harbor,请执行以下操作:
- 下载 Harbor OVA。
- 按照 Harbor 文档中的 Harbor 安装和配置说明进行操作。
- 在脱机 VPC 中运行的 Linux 引导虚拟机,置备方式与上述已连接 Internet 的计算机类似。
- 脱机引导虚拟机必须能够直接访问由 Tanzu Kubernetes Grid 创建的集群虚拟机,而无需使用代理。
创建脱机 VPC 后,必须向其添加以下端点(VPC 端点在 VPC 和支持的 AWS 服务之间启用专用连接):
- 服务端点:
stsssmec2ec2messageselasticloadbalancingsecretsmanagerssmmessages
要将服务端点添加到 VPC,请执行以下操作:
- 在 AWS 控制台中,浏览到VPC 仪表板 (VPC Dashboard) > 端点 (Endpoints)。
- 对于上述每项服务
- 单击创建端点 (Create Endpoint)。
- 搜索服务,然后在服务名称 (Service Name) 下选择该服务。
- 选择 VPC 及其子网 (Subnets)。
- 为端点启用 DNS 名称。
- 选择允许 VPC 中的虚拟机访问端点的安全组 (Security group)。
- 选择策略 (Policy) > 全部访问权限 (Full Access)。
- 单击创建端点 (Create Endpoint)。
准备 Internet 受限环境
要准备 Internet 受限的环境以部署 Tanzu Kubernetes Grid,可以选择以下选项之一:
-
用于联机和脱机环境的单个引导计算机。
-
用于联机和脱机环境的不同引导计算机。
根据选择的选项,按照下表中所述的步骤进行操作:
| 单个引导计算机 | 不同的引导计算机 | |
|---|---|---|
| 步骤 1:在联机计算机上安装隔离集群插件 | 是 |
是 |
| 步骤 2:将 TKG 映像下载到联机计算机 | 是 |
是 |
| 步骤 3:将适用于 Linux 的 Tanzu CLI 二进制映像下载到联机计算机 | 否 |
是 |
| 步骤 4:将 CLI 插件包下载到联机计算机 | 否 |
是 |
| 步骤 5:将文件复制到脱机计算机 | 否 |
是 |
| 步骤 6:解压缩脱机计算机上的文件 | 否 |
是 |
| 步骤 7:登录到脱机计算机上的专用注册表 | 是 |
是 |
| 步骤 8:在脱机计算机上安装 Tanzu CLI | 否 |
是 |
| 步骤 9:在联机计算机上安装 CLI 插件包 | 是 |
是 |
| 步骤 10:将 TKG 映像上载到专用注册表 | 是 |
是 |
步骤 1:在联机计算机上安装隔离集群插件
要安装 isolated-cluster 插件,请执行以下操作:
-
按照《VMware Tanzu CLI 文档》的安装 Tanzu CLI 插件中介绍安装单个插件的过程,安装
isolated-cluster插件。 -
确保
isolated-cluster插件的版本号与核心 Tanzu CLI 的版本号兼容:-
运行
tanzu plugin list以查看 Tanzu CLI 插件的版本号。 -
请参阅《关于Tanzu Kubernetes Grid》中的 TKG 和 Tanzu CLI 插件版本以确认
isolated-cluster插件版本与 TKG v2.4 兼容。- 通过运行
tanzu version列出的核心 Tanzu CLI 版本应与 TKG 发行说明产品快照中列出的 TKG v2.4 Tanzu CLI 版本相匹配。
- 通过运行
-
如果
isolated-cluster插件版本与 TKG 版本不匹配,请按照升级 Tanzu Kubernetes Grid 下所述升级 TKG。
-
步骤 2:将 TKG 映像下载到联机计算机
重要在执行此步骤之前,请确保下载映像的磁盘分区具有 45 GB 可用空间。
在连接到 Internet 的 Linux 引导计算机上下载映像包:
tanzu isolated-cluster download-bundle --source-repo <SOURCE-REGISTRY> --tkg-version <TKG-VERSION> --ca-certificate <SECURITY-CERTIFICATE>
其中:
SOURCE-REGISTRY是存储映像的注册表的 IP 地址或主机名。TKG-VERSION是要在代理或气隙环境中部署的 Tanzu Kubernetes Grid 的版本。-
SECURITY-CERTIFICATE是存储映像的注册表的安全证书。要绕过安全证书验证,请使用--insecure,而不是--ca-certificate。这两个字符串都是可选的。如果未指定任何值,系统将验证默认服务器安全证书。以下是一个示例。
tanzu isolated-cluster download-bundle --source-repo projects.registry.vmware.com/tkg --tkg-version v2.4.0
TAR 文件形式的映像包以及 publish-images-fromtar.yaml 文件将下载到联机计算机。YAML 文件定义映像和 TAR 文件之间的映射。
步骤 3:将适用于 Linux 的 Tanzu CLI 二进制映像下载到联机计算机
将适用于 Linux 的 Tanzu CLI 映像(ZIP 文件)下载到联机计算机:
- 转到 VMware Customer Connect 上的 VMware Tanzu CLI 页面。
- 在产品下载 (Product Downloads) 下,找到 VMware Tanzu CLI for Linux,然后单击立即下载 (Download Now)。
tanzu-cli-linux-amd64.tar.gzZIP 文件将下载到本地计算机。
步骤 4:将 CLI 插件包下载到联机计算机
将 CLI 插件包下载到联机计算机:
在 Tanzu CLI 中,运行以下命令下来 CLI 插件包:
tanzu plugin download-bundle --group vmware-tkg/default --to-tar /tmp/plugin-bundle.tar.gz
步骤 5:将文件复制到脱机计算机
通过 USB 拇指驱动器或其他存储介质将以下文件复制到脱机计算机(即代理或气隙环境中的引导计算机):
- 映像 TAR 文件
- YAML 文件
tanzu-cli-bundle-linux-amd64.tar.gzZIP 文件- CLI 插件包
步骤 6:解压缩脱机计算机上的文件
在脱机的引导计算机上,解压缩 Tanzu CLI 映象 ZIP 文件到 tanzu 目录:
tar -xvf tanzu-cli-bundle-linux-amd64.tar.gz -C $HOME/tanzu
步骤 7:登录到脱机计算机上的专用注册表
通过 Docker 登录到脱机计算机上的专用注册表:
docker login <URL>
其中,URL 是专用存储库的 URL,映像将存储在代理或气隙环境中。
步骤 8:在脱机计算机上安装 Tanzu CLI
在脱机计算机上安装 Tanzu CLI:
sudo install tanzu-cli-linux_amd64 /usr/local/bin/tanzu
步骤 9:在联机计算机上安装 CLI 插件包
在联机计算机上安装 CLI 插件包。
-
如果气隙环境中的专用注册表配置了自签名 CA 证书,请按照 为自定义注册表添加证书配置中的说明添加证书验证首选项。
-
将 CLI 插件包上载到气隙环境中的专用存储库:
tanzu plugin upload-bundle --tar /tmp/plugin-bundle.tar.gz --to-repo PRIVATE-REPO/tanzu_cli/plugins其中,
PRIVATE-REPO是专用存储库,其中映像将存储在代理或气隙环境中。例如,registry.example.com。 -
更新 Tanzu CLI 以指向新的插件源:
tanzu plugin source update default --url PRIVATE-REPO/tanzu_cli/plugins/plugin-inventory:latest -
确认插件是否可发现:
tanzu plugin searchtanzu plugin group search -
安装 CLI 插件:
tanzu plugin install
步骤 10:将 TKG 映像上载到专用注册表
将 TKG 映像包上载到专用注册表:
tanzu isolated-cluster upload-bundle --source-directory <SOURCE-DIRECTORY> --destination-repo <DESTINATION-REGISTRY> --ca-certificate <SECURITY-CERTIFICATE>
其中:
SOURCE-DIRECTORY是映像 TAR 文件的存储位置的路径。DESTINATION-REGISTRY是专用注册表的路径,映像将托管在气隙环境中。SECURITY-CERTIFICATE是专用注册表的安全证书,映像将托管在代理或气隙环境中。要绕过安全证书验证,请使用--insecure,而不是--ca-certificate。这两个字符串都是可选的。如果未指定任何值,系统将验证默认服务器安全证书。
以下是一个示例。
tanzu isolated-cluster upload-bundle --source-directory ./ --destination-repo hostname1 --ca-certificate /tmp/registryca.crt
下一步操作
使用以下配置文件引用变量配置将映像移动到的注册表:
TKG_CUSTOM_IMAGE_REPOSITORYTKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE或TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY。
有关这些配置变量的详细信息,请参见专用映像注册表配置。
注意您还可以使用
tanzu config set env.CONFIG-VARIABLE命令,用于在将来使用 Tanzu CLI 时配置注册表并保留环境变量。有关详细信息,请参见Tanzu CLI 命令参考中的 tanzu 配置集。
您的 Internet 受限环境现在可以部署或升级 Tanzu Kubernetes Grid 管理集群,并开始在 vSphere 或 AWS 上部署工作负载集群。
要在气隙环境中使用经验证的特定配置部署管理和工作负载集群,请参见 VMware Tanzu Kubernetes Grid 2.3 气隙参考设计和部署。TKG v2.3 参考设计适用于 TKG v2.3 和 v2.4。
要使用配置文件部署管理集群,请参见从配置文件部署管理集群。
如果在升级过程中执行了此过程,请参见升级 Tanzu Kubernetes Grid。
